Cand si unde se configureaza CBAC



Cand si unde se configureaza CBAC



Configurarea CBAC la nivelul firewall-ului protejeaza retelele interne. Astfel de firewall-uri ar trebui sa fie rutere CISCO cu setul de caracteristici configurat corespunzator.



CBAC trebuie folosit atunci cand firewall-ul este strabatut de trafic cum ar fi :


aplicatii internet standard TCP si UDP


aplicatii multimedia


suport Oracle


CBAC ar trebui folosit pentru aceste aplicatii daca se vrea ca traficul acestor aplicatii sa treaca prin firewall numai in cazul in care sesiunea de trafic este initiata dintr-o anumita parte a firewall-ului (de obicei din reteaua interna protejata).

In cele mai multe cazuri CBAC  va fi configurat numai intr-o singura directie la o singura interfata, ce duce la circulatia traficului inapoi in reteaua interna numai in cazul in care el face parte dintr-o sesiune ce este permisa.

Exista si cazuri mai rare cand se doreste configurarea CBAC in doua directii pentru o interfata sau mai multe, dar aceasta este o solutie mult mai complexa. CBAC este configurat in doua directii atunci cand se doreste protejarea retelei de ambele parti ale firewall-ului ca in cazul configuratiilor intranet sau extranet. Spre exemplu daca firewall-ul este situat intre doua retele ale unor companii partenere, s-ar dori restrictionarea traficului pentru anumite aplicatii intr-o directie, si pentru alte aplicatii in alta directie.




Procesul CBAC [Top]



Aceasta sectiune descrie o secventa simpla de evenimente ce au loc atunci cand CBAC este configurat la o interfata externa ce se conecteaza la o retea externa asa cum este Internetul.

In acest exemplu un pachet TCP paraseste reteaua interna prin interfata externa a firewall-ului. Pachetul TCP este primul pachet dintr-o sesiune Telnet, iar Telnet este configurat pentru verificarea CBAC.


Pachetul ajunge la interfata externa a firewall-ului.


Pachetul este evaluat in ciuda interfetei existente a listei de acces cu destinatie andepartata si este acceptat. (Un pachet neacceptat este pur si simplu abandonat in acest moment).



Pachetul este verificat de CBAC pentru a determina si inregistra informatii referitoare la starea conexiunii pachetului. Aceste informatii sunt inregistrate in noul tabel de stare creat pentru noua conexiune. (Daca aplicatia pachetului - Telnet - nu este configurata pentru verificarea CBAC pachetul va fi pur si simplu trimis mai departe afara din interfata la acest moment fara a mai fi verificat de CBAC.)


Pe baza informatiilor de stare obtinute, CBAC creeaza o intrare in lista de acces care este introdusa la inceputul interfetei externe a listelor de acces "legate" extinse. Aceasta intrare temporara in lista de acces are scopul de a permite traficul pachetelor interne care fac parte din aceeasi sesiune ca si pachetul verificat.


Pachetul extern este trimis mai departe afara din interfata.


Peste un anumit timp un pachet intern ajunge la interfata. Acest pachet face parte din aceeasi conexiune Telnet stabilita anterior odata cu pachetul extern. Pachetul intern este evaluat netinandu-se cont de existenta listei de acces interne si este acceptat datorita intrarii in lista de acces creata anterior.


Pachetul intern acceptat este verificat de CBAC si intrarea tabelului de stare este innoita conform noilor informatii. Pe baza acestor noi informatii intrarile in lista de acces extinsa "legata" pot fi modificate pentru a permite numai traficul pachetelor care sunt valabile pentru starea curenta a conexiunii.


Orice alte pachete interne sau externe care apartin conexiunii sunt verificate pentru reinnoirea tabelului de stare si pentru modificarea corespunzatoare a intrarilor temporare din lista de acces "legata" si sunt trimise mai departe prin interfata.


Cand conexiunea se incheie sau are time-out tabelul de stare este sters la fel ca si conexiunile intrarilor temporare din lista de acces "legata".


In procesul descris mai sus listele de acces ale firewall-ului sunt configurate dupa cum urmeaza :


● O lista de acces IP cu destinatie indepartata (simpla sau extinsa) este aplicata interfetei externe. Aceasta lista de acces permite iesirea oricarui pachet dorit din retea inclusiv pachetele ce trebuiesc verificate de CBAC. In acest caz pachetele Telnet sunt acceptate.


● O lista de acces "legata" este aplicata interfetei externe. Aceasta lista de acces nu permite nici un fel de verificare CBAC a traficului - inclusiv a pachetelor Telnet. Atunci cand CBAC este declansat odata cu aparitia unui pachet extern el creeaza o "fereastra" temporara in lista de acces "legata" pentru a permite numai traficul ce face parte dintr-o sesiune ce este permisa. Daca lista de acces "legata" a fost configurata sa permita traficul de orice fel, CBAC ar crea "ferestre" de acces inutile pentru pachetele ce ar fi oricum acceptate.